Una VLAN es un mecanismo que ofrecen los SWITCH para segmentar el tráfico entre equipos. El concepto de VLAN (Virtual Local Area Network), como su nombre indica es crear Redes de Área Local usando una única infraestructura física. Una vez definida una VLAN los equipos que se conectan a ella actúan como si estuviesen en un SWITCH distinto, por lo que no ven a los equipos que no estén en su VLAN y se limita el ámbito de broadcast en las diferentes redes.
Tipos de VLAN.
De Nivel 1. Está basada en puerto. Se definen en el SWITCH los puertos que forman parte de la VLAN. Este tipo es el más común. Todo equipo que se conecta a un puerto pasa a formar parte de VLAN definida en este puerto. Este tipo de VLAN se encuentra en todos los SWITCHES gestionables.
De Nivel 2 por MAC. Se crean las VLAN y se asignan las direcciones MAC de los equipos que la componen. Su principal ventaja es que permite la movilidad de los usuarios pues su pertenencia a la VLAN es definida por su MAC, no por el puerto en el que se conecta. Demasiado compleja para administrar en redes con muchos equipos.
De Nivel 2 por Protocolo. Esta VLAN se define por el tipo de protocolo de la trama MAC (IPV4, IPV6, IPX/SPX etc.).
Nivel 3 por direcciones de subred. Necesitamos un SWITCH que opere en el nivel 3 de OSI. Este tipo de VLAN utiliza la información de las cabeceras de nivel 3 para determinar la pertenencia de los paquetes a la VLAN. Como se ha indicado, son los paquetes y no los equipos los que pertenecen a la VLAN.
Nivel 3 por tipo de aplicación. Es la más personalizable y se puede definir su pertenencia en base a la aplicación, fecha/hora, MAC, subred, puerto etc. Básicamente, puedes definir las características que hacen que un equipo forme parte de una VLAN.
Una vez vistos los distintos tipos, me centraré en el más usado, Nivel 1 por puertos.
Algunas consideraciones antes de comenzar: Un equipo en una VLAN NO VERÁ EQUIPOS DE OTRA VLAN. ¿Qué quiere decir esto?, Pongamos un caso muy habitual: Tenemos una escuela con varios equipos en una red, se definen varias VLAN para separa los distintos grupos de usuarios (AULA1, AULA2, TALLER, ADMON, SECRETARIA, etc.) y no queremos que se vean entre ellos pero sí que vean una serie de recursos comunes (Servidor, salida a Internet etc.). Pues bien, para poder hacerlo necesitamos que un conmutador de Nivel 3 o un Router externo nos sirvan de enlace entre las distintas redes. Otro mecanismo es que los SWITCHES soporten la función VLAN Asimétrica, esto es: permite que varias VLAN circulen por un puerto. Pero no es lo normal, así que hay que asegurarse de que alguna de estas funciones esté disponible o no habrá comunicación entre las VLAN
¿Como funciona una VLAN?.
Una VLAN consiste en añadir a la cabecera de la trama Eth la información que indica a que VLAN pertenece la trama. Un SWITCH por defecto viene con una VLAN creada (VID=1) con el nombre default. Todos los puertos del SWITCH tienen asignada esta VLAN como UNTAGGED. Este es un mecanismo para permitir que equipos sin capacidad de trabajar con VLAN puedan usar el SWITCH. Cada puerto puede tener definida una, varias (TRUNK) o ninguna VLAN en modo TAGGED y solo una en modo UNTAGGED. Las VLAN TAGGED son usadas cuando el dispositivo conectado es un dispositivo que puede trabajar directamente con VLAN, por lo que enviará la información de la VLAN a la que pertence el mismo, esta caracteristica hace que un mismo puerto pueda tener definidas varias VLAN en modo TAGGED.
Si llega un paquete sin etiqueta VLAN a un puerto perteneciente a una VLAN, se le asigna a la VLAN que este puerto tiene definida como UNTAGGED, es por eso que solo puede haber una VLAN UNTAGGED por puerto. Por contra cuando un puerto con varias VLAN TAGGED (Trunk) transmite una trama de una VLAN que tiene configurada como UNTAGGED, quita de la trama la informacion de la VLAN.
Es importante tener claro esto por lo que resumo:
VLAN UNTAGGED: Mecanismo diseñado para permitir que los equipos sin capacidad de trabajar con VLAN puedan usar los SWITCH, encargandose el SWITCH de modificar las tramas
Ethernet que le llegan sin información VLAN, añadiendo información a las tramas que entran y quitando a las que salen.
VLAN TAGGED: Solo afecta a las tramas que tienen información VLAN incorporada y esta trama solo se eviará a los puertos definidos en esta VLAN y no se modificará. Esto permite que los paquetes de una VLAN pasen de un SWITCH a otro hasta encontrar todos los equipos de la VLAN (Por supuesto, los puertos TRUNK que unen los distintos SWITCHES deben tener como TAGGED las distintas VLAN).
Ejemplo:
Tenemos 2 SWITCHES SW1 y SW2. Estos son SWITCHES de 24 puertos y se conectan entre ellos por el puerto 24.
Hay definidas 3 VLAN, la 101, 102 y 103.
SW1: Puertos 1-10: Untagged VLAN 101, 11-20: Untagged VLAN 102, 21-24: Untagged VLAN 103, 24 TAGGED 101
SW2: Puertos 1-10: Untagged VLAN 101, 11-20: Untagged VLAN 103, 21-24: Untagged VLAN 102, 24 TAGGED 101
Si un equipo en SW1:1 manda una trama, esta está etiquetada como 101, lo envia a los puertos 2-10 y 24 del SW1, al ser una trama perteneciente a una VLAN configurada como TAGGED en el puerto 24 esta trama pasa al SW2 con la información de pertenencia a la VLAN 101 y puede acceder a los puertos 1-10 del SW2.
Sin un equipo en SW1:21 manda una trama, esta está etiquetada como 103 y es enviada a los puertos 22-24, que tienen la 103 configurada como UNTAGGED, por lo que se le quita la info de la VLAN antes de mandarla. El SW2 recibe por el puerto 24 la trama SIN INFORMACION DE VLAN (UNTAGGED) por lo que la etiqueta en base a la VLAN que tiene definida como UNTAGGED en ese puerto y ahora esa trama pertenece a la VLAN 102 en el SW2 y no tendrá acceso a los puertos 11-20 (VLAN 103) como podiamos pensar sino a los puertos 21-24 (VLAN 102).
Ahora un poco de información más técnica.
Una trama Ethernet tiene distintos campos.
PREAMBULO (7 bytes)
DELIMITADOR DE INICIO DE TRAMA (1 byte)
MAC DE DESTINO (6 bytes)
MAC DE ORIGEN (6 bytes)
ETHERTYPE (2 bytes - IEEE 802.3)
DATA o PAYLOAD (de 42 a 1500 bytes)
CRC (4 bytes)
SEPARADOR DE FRAMES (12 bytes)
Pues bien cuando una trama Ethernet de tipo 802.3 interviene en una VLAN se agrega un campo de 4 bytes definido como 802.1Q entre la MAC DE ORIGEN y ETHERTYPE.
Fuente:
http://isys.es/blog/blog1.php/vlan